一、征集时间2025年11月11日-2025年11月14日二、项目需求本次采购的内容为满足本项目要求的信创高级可持续威胁检测分析与响应产品(以下简称“APT产品”),以及所有设备的安装部署、调试及原厂维保服务(含至少三年)。(一) 产品配置及性能要求 部署地点 设备类型 产品配置及性能要求 总行 流量探针设备 1、单台设备开启全功能****网络流量分析处理性能应不低于20Gbps,在设备可承受的流量范围内,丢包率应不高于********%,告警延迟不超过5s; 2、单台设备接口配置要求(不低于): 设备管理口:2个千兆电口+2个万兆光口(含配套光接口模块)+2个25G光口(含配套光接口模块)+1个硬件带外管理口(IPMI); 流量采集口:4个万兆光口(含配套光接口模块)+1个40G采集口 (含配套光接口模块); 3、设备存储配置要求:操作系统盘与数据存储盘应物理隔离; 4、配置双电源,支持热插拔 文件威胁鉴定平台 (含设备若干台) 1、平台整体性能要求:静态检测性能不低于240万个文件/小时,且动态检测性能不低于9万个文件/天; 2、平台内单台设备接口配置要求(不低于):2个千兆电口+2个万兆光口(含配套光接口模块)+2个25G光口(含配套光接口模块)+1个带外管理口(IPMI); 3、平台内单台设备存储配置要求:操作系统盘与数据存储盘应物理隔离,且数据盘实际可用物理存储空间应不低于2TB(威胁文件及检测报告存储不少于1年); 集中管理与日志分析平台 (含设备若干台) 1、平台整体****网络流量日志处理性能应不低于********EPS; 2、平台内单台设备接口配置要求(不低于):2个千兆电口+2个万兆光口(含配套光接口模块)+2个25G光口(含配套光接口模块)+1个带外管理口(IPMI); 3、平台整体存储要求:设备内操作系统盘与数据存储盘应物理隔离,且平台整体实际可用数据存储空间应不低于850TB; ****网络流量日志存储不少于30天,告警事件日志存储不少于1年) 分行 流量探针设备 1、单台设备开启全功能****网络流量分析处理性能应不低于2Gbps,在设备可承受的流量范围内,丢包率应不高于********%,告警延迟不超过5s; 2、单台设备接口配置要求(不低于): 设备管理口:2个千兆电口+2个万兆光口(兼容千兆,含配套光接口模块)+1个硬件带外管理口(IPMI); 流量采集口:4个千兆电口+4个万兆光口 (兼容千兆,含配套光接口模块) 3、设备存储配置要求:操作系统盘与数据存储盘应物理隔离; 4、配置双电源,支持热插拔 国产化通用性要求 1、应答产品内CPU芯片、操作系统、数据库(如有)均须符合中国信息安全测评中心各批次《安全可靠测评结果公告》所列之内容; 2、应答产品内不得使用开源JAVA中间件,如tomcat、jetty,以及开发组件/框架中涉及嵌入开源java中间件的,须使用宝兰德(BES)等国产JAVA中间件进行替换(禁用东方通产品); 3、应答产品文件威胁鉴定设备须支持统信、银河麒麟等国产操作系统的虚拟机动态检测环境; 4、应答产品访问/管理模式须为B/S架构,须完全适配我行统信桌面终端信创360浏览器。 (二) 产品功能要求 需求项 需求子项 需求说明 常规协议解析 常见协议解析 (1)可正确识别WEB、Mail类、FTP/TFTP、DNS、数据库、IM、远程、VPN、VXLAN、GRE、IPV4、IPV6协议。 (2)可正确生成还原日志,日志字段内容与实际一致,如需包括:时间、源/目的IP,源/目的端口、协议类型、客户端/服务器端地址信息等。 (3)流量日志中需支持对协议解析。 其他协议 (1)可正确识别Netbios、SNMP、SOCKS、ICMP、LDAP协议。 (2)可正确生成还原日志,日志字段内容与实际一致,如需包括:时间、源/目的IP,源/目的端口、协议类型、客户端/服务器端地址信息等。 (3)流量日志中需支持对协议解析。 自定义协议解析 (1)支持对自定义的协议进行解析并生成日志记录。 (2)日志字段内容与实际一致,包括:时间、源/目的IP,源/目的端口、协议类型等。 威胁情报及异常流量 异常流量场景 可正常检测到隐蔽信道攻击、Web弱口令、WebShell、SQL注入、跨站脚本攻击、反序列化漏洞利用、请求或访问Camp;C服务、密码明文传输、DGA域名访问、Respo****网嗅探、N****网穿透行为,并产生告警日志记录。 威胁情报场景 可正常检测到挖矿、端口或主机扫描、Web CC、3389端口转发、APT****网络、远控木###市工具、勒索软件、****网络蠕虫、流氓推广广告、异常DNS、混淆攻击行为,并产生告警日志记录。 文件检测 文件静态、动态检测 支持文件静态检测和动态检测,须保证较低的误报率和较低的漏检率。 文件检测能力 (1)支持正确识别文件类型、产生告警并给出明确的行为。 (2)支持多环境检测功能。 (3)支持对文件恶意行为的检出并进行归类划分。 (4)支持威胁情报匹配。 (5)支持针对动态检测结果进行深度威胁情报匹配。 (6)支持针对有反沙箱逃逸行为的样本进行处置。 (7)支持符合要求的yara检测规则数量。 检测流程控制 (1)支持###路径进行流程配置,如配置所有任务全部通过动态检测。 (2)沙箱支持基于文件类型进行动态检测。 多文件来源渠道 支持多渠道文件传递功能,支持流量、共享目录(FTPamp;SMB)、手动上传、API上传等多渠道文件传递。 威胁文件导出 产品支持对可执行文件的检测及批量导出。 文件检测报告 产品支持对可疑文件提供详细检测报告,检测内容包括但不仅限于:文件信息详情、释放文件信息、文件行为****网络信息、文件静态检测信息。 协议支持 支持HTTP/FTP/TFTP/SMB/SMTP/POP3/IMAP/WEBMAIL协议传输文件的检测,告警信息正确。 平台功能 流量内容过滤 (1)支持对流量进行过滤的功能,可过滤掉不关注流量或仅接收关注流量。 (2)探针支持指定文件类型进行文件还原。 攻击内容解析 支持对攻击解析出协议、IP、端口、Webshell等。 自定义威胁情报 支持配置自定义威胁情报且能正常产生告警。 告警内容展示 支持告警内容各要素查看及筛选展示(攻击IP,受害IP等),支持查看攻击标记(企图、失陷等)。 告警原始包留存 支持对原始告警包的留存, 通过对应的告警记录可以下载数据包。 溯源分析 (1)支持通过威胁情报告警溯源。 ****网络攻击告警溯源。 (3)支持webshell上传告警溯源。 ****网络蠕虫告警溯源。 (5)支持恶意样本投递告警溯源。 (6)分析平台具备根据告警信息快捷的搜索到触发告警的原始日志和资产信息。 检测策略自定义 (1)设备策略能够支持定义检测目标(四元组)、协议(TCP/UDP/HTTP)。 (2)HTTP规则支持细粒度定制(检测位置、字段、文本/正则匹配、载荷内容)。 (3)TCP/UDP规则可分别定义上行/下行载荷等。 白名单规则自定义 (1)设备支持白名单一键加白。 (2)白名单规则支持规则ip、域名、源目ip、告警名称、告警类型、告警接口、告警uri、告警refer等字段。 告警检索 (1)设备支持对告警检索场景自定义,场景包括列表字段、表头灵活排序等。 (2)设备支持高级检索,用户可自定义查询语句。 (3)设备支持对告警内容涉及的所有字段进行单个、多个聚合检索。 告警降噪 设备应支持对告警进行自动化分类,自动区分不同价值告警,快速突出高威胁。 原始日志集中检索和分析 (1)设备应支****网络日志进行检索,支持针对域名解析、文件传输、FTP控制通道、LDAP行为、登录动作、邮件行为、****网络阻断、数据库操作、SSL加密协商、TCP流量、Telnet行为、UDP流量、W****网络流量日志,并可基于时间、IP、端口、协议、上下行负载等多重字段组合进行日志检索。 (2)不同类型日志格式应支持不同类型的字段检索,如ftp、ssh等协议应支持用户名密码检索,web访问日志应支持域名、请求头字段检索等。 (3)针对不同的检索动作应支持查询语句保存、检索场景保存、检索结果保存等。 (4)支持IPV6检索。 (5)支持解码工具,应在原始日志检索和告警检索页面提供多重编码格式互转工具。 定制与扩展 应支持横向扩展能力,且系统应提供syslog等接口方式,便于与第三方平台对接。 系统管理功能 联动管理 (1)联动对****网络分****网络攻击的日志、文件还原信息发送以及多发给Syslog服务器。 (2)联动内容过滤,支持对发送日志数据的配置,包括攻击详情字段等。 (3)验证发送的日志数据内是否包含必要的字段,如源目IP、域名、告警类型、威胁级别、攻击状态、返回状态、文件hash/mad5、用户名及密码等;验证添加白名单后,告警日志字段是否含有白名单指征。 更新及代理支持 支持通过代理服务进行升级、更新的能力。 统一管理 (1)探针支持统一管理的能力:支持对探针设备进行批量远程升级,并支持整包升级和patch包升级。各类升级更新操作均须在WEB页面执行,不得通过底层操作系统进行更新升级;支持对探针的运维管理,断开、重启、流量信息同步等;支持对探针设备操作日志的集中查看和审计;支持探针分组设置和管理,并以探针组进行用户数据授权;支持监控所有流量探针的系统状态,包括但不限于探针硬件资源情况、存储概况、上报日志数量、采集口流量等。 (2)功能统一管理:支持对威胁规则、威胁情报,采集策略,白名单、资产名单等进行统一管理。 用户管理 支持灵活的用户权限和数据权限配置管理,可按用户角色分配对应的使用权限。权限包括:管理权限、分析权限、审计权限、运维权限、第三方分析权限等。 登录管控 应支持在WEB页面、操作系统后台对来访IP/IP段实现有效管控。 其他 统一纳管 应支持纳管至我行运维账号管理平台,实现日常设备运维、账号登录的统一管理,操作系统各类型账号须满足可移交且使用标准账号密码登录模式(如Windows/Linux)。 流量对接模式要求 应答产品应支持通过TAP交###路物理接线方式获取镜像流量,并支持对使用VXLAN、GRE协议封装的流量进行解析处理。应支持通过如ERSPA****网络可达的方式获取远程镜像流量。
本招标项目仅供 正式会员查阅,您的权限不能浏览详细信息,请点击注册/登录,请联系工作人员办理入网升级。
联系人:方婷
电话:010-53341173
手机:13011091135 (欢迎拨打手机/微信同号)
邮箱:fangting@zbytb.com
